Mytob (mato)

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 4. joulukuuta 2012 tarkistetusta versiosta . tarkastukset vaativat 6 muokkausta .

mytob
Koko nimi (Kaspersky)	Net-Worm.Win32.Mytob
Tyyppi	Internet-mato
ilmestymisvuosi	2005
Symantec Kuvaus

Mytob-mato on tietokonevirus , Internet-mato , joka löydettiin verkosta 26. helmikuuta 2005 .

Muut otsikot

Net Worm.Win32.E77.a	"Kaspersky Lab"
W32/Mydoom.bg@MM	McAfee
W32.Mytob@mm	Symantec
Win32.HLLM.MyDoom.19	Tohtori Web
W32/Mytob-A	Sophos
Win32/Mydoom.BG@mm	RAV
WORM_MYTOB.E	Trend Micro
Worm/Zusha.A	H+BEDV
W32/Mytob.B@mm	FRISK
I-Worm/Mytob.A	Grisoft
Win32.Worm.Mytob.A	SOFTWIN
Mato.Mytob.A	ClamAV
W32/Mytob.A.worm	Panda
Win32/Mytob.A	Eset

Seuraavat muutokset ovat olemassa: .a, .be, .bi, .bk, .bt, .c, .cf, .ch, .dc, .h, .q, .r, .t, .u, .v, .w, .x, .y

Tekniset tiedot

Se on Windows -sovellus ( PE EXE -tiedosto), kooltaan noin 43 kt (pakkattu FSG:llä). Pakkaamattoman tiedoston koko on noin 143 kt. Virus leviää Microsoft Windows LSASS -palvelun (MS04-011 [1] ) haavoittuvuuden avulla sekä Internetin kautta tartunnan saaneiden sähköpostien liitteinä. Se lähetetään kaikkiin tartunnan saaneelta tietokoneelta löytyviin sähköpostiosoitteisiin.

Mato perustuu Email-Worm.Win32.Mydoom-lähdekoodiin ja sisältää takaovitoiminnon , joka hyväksyy komentoja IRC - kanavien kautta . Net-Worm.Win32.Mytob.a avaa TCP - portin 6667 tartunnan saaneessa koneessa muodostaakseen yhteyden IRC-kanaviin komentojen vastaanottamiseksi. Tämän ansiosta hyökkääjä voi saada täyden pääsyn järjestelmään IRC-kanavien kautta, saada tietoja tartunnan saaneelta tietokoneelta, ladata kaikki tiedostot, suorittaa ja poistaa ne. Lisäksi se estää pääsyn virustentorjuntakehittäjien resursseihin.

Asennus

Käynnistyksen jälkeen mato kopioi itsensä Windowsin järjestelmähakemistoon nimellä msnmsgr.exe:

%System%\msnmsgr.exe

Mato rekisteröi sitten tämän tiedoston järjestelmän rekisterin automaattisen käynnistysavaimiin:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKCU\Software\Microsoft\OLE] "MSN"="msnmsgr.exe"

Levitä LSASS-haavoittuvuuden kautta

Mato käynnistää menettelyt IP-osoitteiden valitsemiseksi hyökkäyksille ja lähettää pyynnön TCP-porttiin 445. Jos etätietokone reagoi yhteyteen, mato käyttää LSASS-haavoittuvuutta suorittaakseen oman koodinsa etätietokoneessa.

Muistiinpanot

1. ↑ Microsoftin tietoturvatiedote MS04-011: Tietoturvapäivitys Microsoft Windowsille (835732) . Haettu 10. toukokuuta 2008. Arkistoitu alkuperäisestä 2. tammikuuta 2007. (määrätön)

Katso myös

• Tietokonevirusten ja matojen aikajana

Linkit

• Mytob-virus leviää  sairaaloissa
• Virus sammutti kolmen Lontoon  sairaalan järjestelmät
• Mytob-sähköpostimato lisääntyy  nopeasti
• Estä Mytob-  mato
• lohkovektori.  Lopeta mytob
• Kuvaus matosta Kaspersky Labin Viruslist.com-sivustolla

2000-luvun hakkerihyökkäykset
Suurimmat hyökkäykset	Operaatio Bot Roast Operaatio Red October Hanke "Kanologia" titaaninen sade
Hakkereiden ryhmät ja yhteisöt	Nimetön Yksikkö 61398 (PLA)
yksinäisiä hakkereita	Dmitri Sklyarov
Havaittiin kriittisiä haavoittuvuuksia	Särkyttävä hyökkäys
Tietokonevirukset	Agent.BTZ Anna Kurnikova Asprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Huolehtia punainen koodi Koodi punainen II Commwarrior Conficker Cutwail donbot Festi Fizzer MINÄ RAKASTAN SINUA Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Läpäisevä Hyppysellinen Myrkkymuratti RFID-virus Rustock Suolaisuus Santy Sasser Raitis Niin iso SpyEye SQL Slammer Srizby Myrskymato Torpig Virut Vulcanbot Waledac Nolla pääsy Zeus Zobot
1990 -luku • 2000 -luku • 2010-luku